什么是跨站攻擊？跨站點腳本攻擊（也稱為XSS）是指利用網(wǎng)站漏洞惡意竊取用戶信息的行為。用戶通常在瀏覽網(wǎng)站、使用即時通訊軟件甚至閱讀電子郵件時單擊這些鏈接。攻擊者可以通過在鏈接中插入惡意代碼來竊取用戶信息。攻擊者通常以十六進制（或其他編碼方法）對鏈接進行編碼，以避免用戶懷疑其合法性。在收到包含惡意代碼的請求后，網(wǎng)站會生成一個包含惡意代碼的頁面，該頁面看起來像是網(wǎng)站應(yīng)該生成的合法頁面。許多流行的留言簿和論壇程序允許用戶發(fā)布包含HTML和JavaScript的帖子。假設(shè)用戶a發(fā)布了一篇含有惡意腳本的帖子，當用戶B瀏覽該帖子時，惡意腳本將執(zhí)行并竊取用戶B的會話信息，跨站點腳本攻擊的三個步驟如下：

1。HTML注入。所有的HTML注入示例都只注入了一個JavaScript彈出警告框：Alert（1）。做壞事。如果您認為警告框不夠刺激，當受害者單擊注入HTML代碼的頁面鏈接時，攻擊者可以進行各種惡意操作。

站在用戶的角度思考問題，與客戶深入溝通，找到堯都網(wǎng)站設(shè)計與堯都網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：網(wǎng)站建設(shè)、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、主機域名、雅安服務(wù)器托管、企業(yè)郵箱。業(yè)務(wù)覆蓋堯都地區(qū)。

3.誘捕受害者。

WhatsApp桌面客戶端遠程文件訪問和代碼執(zhí)行漏洞的影響有多大？

該漏洞是由安全研究人員galweizman和perimeterX聯(lián)合發(fā)現(xiàn)的。美國國家標準與技術(shù)研究所（NIST）評估的嚴重性級別為8.2。

[captionviatechspot

早在2017年，研究人員就發(fā)現(xiàn)了更改他人回復(fù)文本的問題。魏茨曼意識到，他可以利用富媒體來創(chuàng)建假消息，并將目標重定向到他指定的位置。

安全研究人員進一步證實了這一點，并可以使用JavaScript實現(xiàn)一鍵式持久跨站點腳本攻擊（XSS）。

最終繞過WhatsApp的CPS規(guī)則，增強攻擊能力，甚至實現(xiàn)遠程代碼執(zhí)行。

經(jīng)過一番挖掘，研究人員意識到這一切都是可行的。因為Facebook提供的WhatsApp桌面應(yīng)用程序版本正式基于Chrome69的過時版本。

當Chrome78正式發(fā)布時，這個問題就暴露了出來，早期版本中使用的JavaScript功能已經(jīng)修補。

如果WhatsApp將其electronweb應(yīng)用程序從4.1.4更新為最新版本（7。十、X）發(fā)現(xiàn)時，XSS將不再存在。

Facebook稱cve-2019-18426漏洞影響0.3.9309之前的WhatsApp桌面客戶端和2.20.10之前的iPhone客戶端。

有關(guān)該漏洞的詳細信息，請訪問weizman的perimeterx博客文章。

當前名稱：跨站攻擊的三個主要場景什么是跨站攻擊？-創(chuàng)新互聯(lián)
網(wǎng)站網(wǎng)址：http://www.xueling.net.cn/article/ghoes.html